L’EDPS definisce la strategia per conformarsi alla sentenza Schrems II nel trasferimento dei dati personali

L’EDPS ha pubblicato una strategia volta a monitorare il rispetto della sentenza “Schrems II” in relazione ai trasferimenti di dati personali verso paesi terzi.

Il 29 ottobre 2020 il Garante europeo della protezione dei dati (EDPS) ha pubblicato la sua strategia volta a monitorare il rispetto di quanto disposto dalla sentenza “Schrems II” della Corte di Giustizia europea da parte delle istituzioni, degli organi, degli uffici e delle agenzie europee in relazione ai trasferimenti di dati personali verso paesi terzi e, in particolare, verso gli Stati Uniti.

L’obiettivo dichiarato dal Garante europeo “è che i trasferimenti internazionali in corso e futuri siano effettuati in conformità con la legge sulla protezione dei dati dell’UE”.

La sentenza “Schrems II” ha conseguenze di vasta portata su tutti gli strumenti utilizzati per trasferire dati personali dal Spazio economico europeo (SEE) a qualsiasi paese terzo. Sebbene la strategia del Garante europeo miri a rendere tutti i trasferimenti conformi alla sentenza a medio termine, sono state identificate dall’EDPS due priorità da affrontare a breve termine:

  • completare una mappatura per identificare quali contratti in corso, procedure di appalto e altri tipi di cooperazione comportano trasferimenti di dati. Si tratta di trasferimenti che non hanno una base legale e che si basano su deroghe e trasferimenti a soggetti privati verso gli Stati Uniti che presentano rischi elevati per gli interessati;
  • effettuare dell’impatto di ciascun trasferimento (“Transfer Impact Assessments” o “TIAs”) per identificare se un livello di protezione sostanzialmente equivalente è garantito nel paese terzo di destinazione.

Sulla base di queste valutazioni, che devono essere effettuate con l’aiuto dei “data importers”, sarà possibile determinare l’adeguatezza dei trasferimenti dei dati negli Stati Uniti.

Nel comunicato stampa diffuso il 29 ottobre 2020, il Garante europeo ha anche affermato che “i trasferimenti di dati personali da parte delle istituzioni europee verso paesi terzi dovrebbero essere conformi alla Carta dei diritti fondamentali dell’UE, nonché alla legislazione dell’UE in materia di protezione dei dati, in particolare al capitolo V del Regolamento UE 2018/1725. A tal fine, la strategia si basa sulla cooperazione e la responsabilità dei titolari del trattamento per valutare se gli standard di protezione essenzialmente equivalenti, sulla base della sentenza della Corte, sono garantiti quando vengono effettuati trasferimenti di dati personali verso paesi terzi”.

Per ultimo, la strategia chiarisce che il Garante europeo sta lavorando con le altre autorità di controllo per sviluppare ulteriori orientamenti e raccomandazioni per assistere i titolari e responsabili del trattamento nell’adozione e attuazione di adeguate misure supplementari a garantire un sufficiente livello di protezione nel trasferimento dei dati verso paesi terzi.

La presa di posizione dell’EDPS è in linea con quella precedentemente illustrata dall’EDPB e sottolinea come l’esecuzione di una valutazione di ogni singolo trasferimento sarà fondamentale e non si potrà tornare allo scenario in cui la mera adozione di clausole contrattuali standard aggiuntive sarà considerata sufficiente. Anche la prossima adozione delle linee guida da parte dell’EDPB fornirà solo indicazioni sulle misure integrative che potrebbero essere adeguate, ma non sarà risolutoria della questione.

In tale contesto, la metodologia sviluppata da DLA Piper per valutare l’adeguatezza dei trasferimenti di dati personali verso paesi terzi dopo la sentenza Schrems II diventa un supporto utile che è stato già apprezzato dai principali garanti europei. E’ possibile avere maggiori informazioni sulla nostra metodologia in questo articolo.